网络安全观察 |《网络安全审查办法》出台，网络安全审查究竟审查什么？_风闻

走出去智库观察

1月4日，国家网信办等13部门联合修订并发布《网络安全审查办法》（以下简称《办法》），将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围。《办法》自2月15日起施行。

走出去智库（CGGT）特约法律专家、北京大成总部高级合伙人蔡开明指出，《办法》是在针对当前风险较高的关键信息基础设施运营者采购以及网络平台运营者赴国外上市两大业务率先出台的安全审查机制，同时保留了主管部门对可能存在风险的网络平台运营者开展其他数据处理活动进行网络安全审查的空间。如此一来，既保障了相关主管部门面对主要风险业务时有法可依，也为后续建立涵盖范围更广的数据安全审查制度积累立法和实践经验，同时也争取了建立完善相关制度的时间。****

《办法》的立法背景是什么？有哪些风险点？今天，走出去智库（CGGT）刊发蔡开明律师团队的分析文章，供关注网络安全的读者参阅。

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

1、《办法》将征求意见稿中审查对象之一的“数据处理者”限缩为“网络平台运营者”，即率先制定出针对较高风险的关基运营者、网络平台运营者的安全审查制度（即网络安全审查），避免了一时难以妥善规范的、当前风险较低的其他多种多样的“数据处理者”的干扰。****

2、********《办法》中的网络平台经营者，应当包含凭借任何网络开展具有类似前述“连接属性********”平台业务的企业。从严格控制风险的角度，在当前关于“网络平台运营者”的概念定义尚无官方说明的情况下，如相关公司掌握超过100万用户个人信息****且需要赴国外上市，可以首先咨询网络安全审查对接部门（注意保留相关咨询档案），或按照《办法》尝试申报网络安全审查，以规避潜在风险。****

3、《办法》在制度设计上，可能由于赴港上市相较国外上市风险更低，因此并不需要强制要求所有网络平台运营者（赴港）上市前均主动申报网络安全审查，而是通过相关主管部门依据《办法》获得的主动提请发起审查的职权，对可能存在相关风险的特定上市活动进行网络安全审查。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/蔡开明 阮东辉

一、立法背景

2021年1月4日，国家网信办官方网站披露了国家网信办与国家发展和改革委员会、工业和信息化部、公安部、国家安全部等十三部门联合修订的《网络安全审查办法》（以下简称“《办法》”），该《办法》将于2022年2月15日起实施。

此前，2020年4月我国曾颁布并实施过一版《网络安全审查办法》（以下简称“2020版”），规定关键信息基础设施运营者（以下简称“关基运营者”）采购网络产品和服务需要进行网络安全审查。2021年，在《数据安全法》颁布后，中国证券监督管理委员会与制定2020版的十二个主管部门一道，在2021年7月制定并公布了《网络安全审查办法（征求意见稿）》（以下简称“征求意见稿”），将数据处理者开展数据处理活动纳入网络安全审查的范围。

《办法》在内容上虽然大多承继了征求意见稿的相关规定，但也对不少内容进行了重要调整，以下我们将根据《办法》及相关法律规定，对网络安全审查的重点内容进行分析解读。

二、网络安全审查制度定位

在2021年6月《数据安全法》公布，其第24条规定“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。……”彼时社会各界普遍认为2020年创设的网络安全审查制度即是《数据安全法》所规定的“数据安全审查”。2021年7月的征求意见稿将涵盖范围广泛的“数据处理者”的数据处理活动纳入网络安全审查似乎也印证了这一点，但根据最新出台的《办法》，网络安全审查并不等同于“数据安全审查”。

《办法》第22条第2款规定“国家对数据安全审查、外商投资安全审查另有规定的，应当同时符合其规定。”这一条款意味着：（1）网络安全审查与数据安全审查是两种审查机制；（2）相关企业的特定行为如同时涉及数据安全审查和网络安全审查，则需要同时遵守两类审查机制下的相关要求。

我们理解《办法》采用此种定位设计，与《办法》将征求意见稿中审查对象之一的“数据处理者”限缩为“网络平台运营者”相呼应，即率先制定出针对较高风险的关基运营者、网络平台运营者的安全审查制度（即网络安全审查），避免了一时难以妥善规范的、当前风险较低的其他多种多样的“数据处理者”的干扰。待以后积累了一定执法实践经验、时机成熟时，再出台涵盖所有数据处理者的数据安全审查制度，这一做法也与我国以往的立法实践经验相一致。****

三、网络安全审查对象

如前所述，在理解《办法》中对网络安全审查的定位设计后，我们已然可以理解为什么《办法》将审查的对象，从征求意见稿中的“关基运营者”和“数据处理者”，限缩为“关基运营者”和“网络平台运营者”。

1. 关于关基运营者

我国2021年已公布了《关键信息基础设施安全保护条例》，对“关键信息基础设施”进行了定义，即“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”实践中，我们也已知悉部分企业已经被相关部门明确告知其已被认定为关键信息基础设施运营者。如企业不确定自身是否可能构成关键信息基础设施运营者，可主动联系行业、领域主管部门、监督部门进行认定。

2. 关于网络平台运营者

《办法》及现行生效的各项法律法规均未见具体定义。但在2021年11月国家互联网信息办公室发布的《网络数据安全管理条例（征求意见稿）》中，对“互联网平台运营者”定义为“指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。”不过这一定义措辞为“互联网运营者”而非“网络运营者”。

《网络安全法》中对“网络”定义为“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。”其可能涵盖的范围十分广泛，因此我们理解“网络”的范围应当包括我们通常所说的“互联网”。****

就“平台运营者”而言，国家市场监督管理总局在2021年10月颁布的《互联网平台分类分级指南（征求意见稿）》中对互联网平台归类中提及了“平台”具备的“连接属性”，即“通过网络技术把人和商品、服务、信息、娱乐、资金以及算力等连接起来，由此使得平台具有交易、社交、娱乐、资讯、融资、计算等各种功能。”

综上所述，我们理解《办法》中的网络平台运营者，应当包含凭借任何网络开展具有类似前述“连接属性******”平台业务的企业。从严格控制风险的角度，在当前关于“网络平台运营者”的概念定义尚无官方说明的情况下，如相关公司掌握超过100万用户个人信息且需要赴国外上市，可以首先咨询网络安全审查对接部门（注意保留相关咨询档案），或按照《办法》尝试申报网络安全审查，以规避潜在风险。**

根据国家网信办有关负责人就《办法》出台事宜的答记者问（以下简称“答记者问”），承担接收企业申报网络安全审查材料、对申报材料进行形式审查等工作的承接部门及联系方式为：

承接部门：中国网络安全审查技术与认证中心

咨询电话：010-65994415

咨询邮箱：[email protected]

联系地址：北京市朝阳区朝外大街甲10号中认大厦

四、网络安全审查的启动

《办法》中关于网络安全审查启动机制承继了2020版的设计思路，大致分为两大类启动机制：其一为企业主动申请发起，其二为政府机关依职权提请发起。

1. 企业主动申请发起

《办法》第5条、第7条规定了两类企业需要向网络安全审查办公室主动申报网络安全审查的情形，即：（1）关基运营者采购网络产品和服务的，预判该产品和服务投入使用后影响或者可能影响国家安全；（2）掌握超过100万用户个人信息的网络平台运营者赴国外上市。此外，根据答记者问，掌握超过100万用户个人信息网络平台运营者赴国外上市申请审查的时间，需要在向国外证券监管机构提出上市申请之前。

其中，在国外上市这一情形下，此前国家互联网信息办公室的《网络数据安全管理条例（征求意见稿）》第13条规定赴香港上市同样需要申报网络安全审查，此项规定也导致了香港联交所要求大陆上市企业提交权威数据安全背书，市场影响较大。《办法》最终并未采纳这一规定，仍以“国外上市”作为要求企业主动申报的条件而不提及香港，我们理解国家网信办应当已就该问题达成一致，暂时采用谨慎态度，赴港上市暂未强制规定需要主动申报网络安全审查，但并不意味着不会被相关主管部门主动发起审查。

此外，关于上市的具体形式，《办法》中并未对其进行详细说明，但在申报网络安全审查需要提交的材料中对比征求意见稿采用了更规范的表述“首次公开募股（IPO）等上市申请文件”，考虑到当前中国企业境外上市普遍采用了多种上市形式已成为行业共识，因此我们理解虽然《办法》并未对“上市”的具体形式进行规定，但也应当包括“首次公开募股（IPO）”、“通过特殊目的公司（SPAC****）并购****”、“借壳上市或反向兼并（RTO）”等多种国外上市形式。

2. 政府机关依职权提请发起

《办法》第10条、第16条规定了网络安全审查工作机制成员单位提请发起网络安全审查程序，赋予了相关主管部门主动提请发起开展网络安全审查的权利，这表明在前述两项企业需主动申报审查的情形之外，只要符合《办法》第2条“关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全”，相关主管部门均可主动提请发起网络安全审查。****

此外，值得注意的是《办法》第19条明确提及了“网络安全审查办公室通过接受举报等形式加强事前事中事后监督。”这意味着相关主管部门主动提请发起网络安全审查的信息来源包括了群众举报，而不仅限于相关部门的行政管理活动中收集的信息。

五、审查程序

办法中最终确定的审查程序与2020版、征求意见稿中的审查框架基本一致。在网络安全审查办公室决定受理企业申请，或网络安全审查工作机制成员单位发起调查的申请获得中央网络安全和信息化委员会批准后，网络安全审查办公室即正式开展以下审查程序：

1. 初步审查程序

网络安全审查办公室在30个工作日内（不包含企业提交补充材料的时间，且情况复杂可延长15个工作日）形成审查结论建议，并将其发送给网络安全审查工作机制成员单位、相关部门征求意见。各相关单位、部门意见一致即结束审查并将审查结果通知当事人；相关单位、部门如意见不一致，则启动特别审查程序。

2. 特别审查程序

特别审查程序中，网络安全审查办公室需听取相关单位和部门意见再次形成审查结论建议，并在征求相关成员单位和部门对审查结论建议的意见后，报中央网络安全和信息化委员会批准形成审查结论，并通知当事人。

值得注意的是，特别审查程序将审查时效最终延长到了90个工作日（不包含企业提交补充材料时间），并保留了在复杂情况下可以延长这一审查时限的规定。同时，在《办法》第16条新增了第2款“为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。”这意味网络安全审查办公室可以在审查过程中率先要求相关企业采取整改措施（如下架相应APP等），而无需等待审查结束。

六、关注风险因素

《办法》中重点评估的影响国家安全的风险因素在2020版基础上增加了两类，即：

（1）“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；

（2）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险。”这与答记者问中关于《办法》修订背景的论述一致，即呼应《数据安全法》的出台，“进一步保障网络安全和数据安全，维护国家安全。” 

新增的两类风险因素在征求意见稿中也有类似表述，但措辞不同。对比征求意见稿关于前述两类风险因素的表述：

（1）《办法》将 “非法利用或出境的风险”明确为“非法利用、非法出境的风险”。这一措辞调整明确了执法指向，履行了《数据安全法》、《个人信息保护法》等法律下相关数据出境监管程序后的数据出境行动不属于网络安全审查关注的内容；

（2）《办法》将“国外上市”调整为“上市”并增加了“上市”存在的“网络信息安全风险”这一风险情形。

采用“上市”而非采用与第7条要求特定网络平台运营者赴国外上市需要申报审查的规定中相同的“国外上市”这一表述，我们理解这一调整为立法机关故意为之，以明确此处的“上市”和第七条的“国外上市”的区别，以此将在香港甚至国内上市导致的“被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险”纳入了关注范围。****

结合前文所述，《办法》并未采用《网络数据安全管理条例（征求意见稿）》中赴港上市企业需要主动申报审查这一规定，我们理解在《办法》下，网络安全审查除关注网络平台运营者国外上市带来的风险外，同样关注网络平台运营者赴港上市甚至国内上市带来的相应风险，特别是网络信息安全。但在制度设计上，可能由于赴港上市相较国外上市风险更低，因此并不需要强制要求所有网络平台运营者（赴港）上市前均主动申报网络安全审查，而是通过相关主管部门依据《办法》获得的主动提请发起审查的职权，对可能存在相关风险的特定上市活动进行网络安全审查。

七、总结

即将生效的《网络安全审查办法》，相对此前公布的《网络安全审查办法（修订草案征求意见稿）》以及《网络数据安全管理条例（征求意见稿）》相关规定，调整的细节内容颇多，但影响同样重大。

总体来看，《网络安全审查办法》是在针对当前风险较高的关键信息基础设施运营者采购以及网络平台运营者赴国外上市两大业务率先出台的安全审查机制，同时保留了主管部门对可能存在风险的网络平台运营者开展其他数据处理活动进行网络安全审查的空间。如此一来，既保障了相关主管部门面对主要风险业务时有法可依，也为后续建立涵盖范围更广的数据安全审查制度积累立法和实践经验，同时也争取了建立完善相关制度的时间。

对于企业而言，由于《网络安全审查办法》已有具体规定，关键信息基础设施运营者与网络平台运营者需要格外关注相关风险，特别是关键信息基础设施运营者采购网络产品和服务的活动，以及网络平台运营者赴国外上市的活动，此外，网络平台运营者需意识到其他数据处理活动也有被开展网络安全审查的可能，因此也应给予充分关注。而其他企业，虽然并非《网络安全审查办法》下的规范对象，但同样应当注意在《数据安全法》、《个人信息保护法》下的相关数据安全保护合规要求。